Startseite   ›   Ressourcen   ›   Prüflisten   ›   7-stufige CPRA-Einhaltungsanforderungen...

7-stufige Checkliste zur Einhaltung der CPRA-Anforderungen

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: November 4, 2025

Erstellen Sie eine kostenlose CPRA-Datenschutzrichtlinie
CPRA-Checkliste

Der California Privacy Rights Act(CPRA) trat am 1. Januar 2023 in Kraft und änderte Teile des California Consumer Privacy Act(CCPA).

Heute sind die CPRA-Änderungen vollständig in Kraft, einschließlich aller Durchsetzungsregeln, die von der California Privacy Protection Agency (CPPA), der für die Durchsetzung des Gesetzes zuständigen Gruppe, festgelegt wurden.

Websites, die den CPRA-Änderungen des CCPA unterliegen, können die nachstehenden Schritte befolgen, um ihren Verpflichtungen im Rahmen des Gesetzes nachzukommen.

Inhaltsübersicht
  1. Checkliste zur Einhaltung der CPRA: Schritt-für-Schritt
  2. CPRA-Anforderungen FAQ

Checkliste zur Einhaltung der CPRA: Schritt-für-Schritt

Teil 1: Durchführen eines Datenschutz-Audits

Um Ihren Verpflichtungen gemäß dem CCPA in der durch das CPRA geänderten Fassung nachzukommen, sollten Sie zunächst ein Datenschutzaudit durchführen, damit Sie Gewissheit haben:

  • Alle persönlichen Informationen, die Ihr Unternehmen sammelt
  • Woher es kommt
  • Wie es gesammelt wird

So können Sie beispielsweise Daten direkt von den Nutzern über Internetformulare, durch die Verwendung von Cookies in ihren Browsern oder aus öffentlich zugänglichen Quellen erhalten.

Wenn Sie nicht alle diese Informationen kennen, können Sie nicht behaupten, dass Sie das CCPA in der durch das CPRA geänderten Fassung vollständig einhalten, und Ihr Unternehmen läuft Gefahr, wegen eines Verstoßes gegen das Gesetz eine Geldstrafe zu erhalten.

Um eine eigene Dateninventur durchzuführen, können Sie die folgenden Techniken anwenden:

Teil 2: Anforderungen an die Benachrichtigung zum Datenschutz

Die Unternehmen müssen im Rahmen der CPRA-Anforderungen bestimmte Datenschutzmeldepflichten erfüllen.

Um den CPRA-Änderungen Rechnung zu tragen, sollten Sie auf Ihrer Website eine CCPA-konforme Datenschutzrichtlinie veröffentlichen, die alle folgenden Angaben enthält:

  • Die Kategorien der von Ihnen erfassten personenbezogenen Daten
  • Die Quellen, aus denen die Daten gesammelt wurden.
  • Der Zweck, zu dem Sie personenbezogene Daten sammeln, verwenden, verkaufen oder weitergeben.
  • Wenn Sie personenbezogene Daten an Dritte weitergeben oder verkaufen.
  • Die Kategorien der Dritten, die Zugang zu den Daten haben.
  • Wie lange Sie die einzelnen Kategorien personenbezogener Daten aufbewahren wollen.
  • Die Kriterien, anhand derer bestimmt wird, wie lange die Daten aufbewahrt werden müssen.
  • Einzelheiten zu den Rechten der Verbraucher, die Löschung ihrer personenbezogenen Daten zu verlangen.
  • Einzelheiten zu den Rechten der Verbraucher, die Berichtigung ihrer personenbezogenen Daten zu verlangen.

Sie dürfen Daten nur in einer Weise erheben, verwenden, aufbewahren und weitergeben, die vernünftigerweise als notwendig erachtet wird, um die Zwecke zu erreichen, die Sie in Ihrer Datenschutzrichtlinie offenlegen.

Planen Sie, wie gesetzlich vorgeschrieben, mindestens alle 12 Monate eine Aktualisierung Ihrer Datenschutzrichtlinie.

Teil 3: Einholung einer angemessenen Zustimmung der Verbraucher zur spezifischen Datenverarbeitung

Implementieren Sie einen cookie consent Manager auf Ihrer Website, um den kalifornischen Nutzern eine angemessene Auswahl an Einwilligungen für bestimmte Arten der Datenverarbeitung zu bieten, wie es das CCPA/CPRA verlangt.

Wenn Sie personenbezogene Daten weitergeben oder verkaufen, sollten Sie Folgendes beachten:

Wenn Sie sensible personenbezogene Daten erfassen möchten, sollten Sie Folgendes tun:

  • Erläutern Sie, dass Sie sensible personenbezogene Daten auf einem Zustimmungsbanner erfassen möchten und den Nutzern die Möglichkeit geben, sich dagegen zu entscheiden.
  • Information der Verbraucher über ihr Recht, die Verwendung ihrer sensiblen Daten auf das zu beschränken, was für die Erbringung von Dienstleistungen oder die Lieferung von Waren vernünftigerweise erforderlich ist.
  • Fügen Sie auf Ihrer Website einen konformen Link "Beschränkung der Verwendung meiner sensiblen persönlichen Daten" ein.
  • Berücksichtigung der vom Einzelnen festgelegten Einwilligungspräferenzen durch universelle Opt-out-Mechanismen.

Teil 4: Vertragliche Verpflichtungen zur Weitergabe oder zum Verkauf von personenbezogenen Daten

Nach dem CCPA in der durch das CPRA geänderten Fassung müssen Unternehmen, die personenbezogene Daten weitergeben oder verkaufen, Kontakte knüpfen und einrichten, die die folgenden Verpflichtungen erfüllen:

  • Geben Sie an, welche personenbezogenen Daten weitergegeben oder verkauft werden.
  • Erläutern Sie, wie lange die dritte Partei Zugang zu den Daten hat.
  • Geben Sie die spezifischen Zwecke für die Weitergabe oder den Verkauf der personenbezogenen Daten an.
  • den Dritten zu verpflichten, alle geltenden Verpflichtungen einzuhalten, um das gleiche Maß an Sicherheit zu bieten, wie es der CCPA/CPRA verlangt.
  • Geben Sie Ihrem Unternehmen das Recht, angemessene und geeignete Maßnahmen zu ergreifen, damit der Dritte personenbezogene Daten in einer Weise verwendet, die mit allen CCPA/CPRA-Geschäftsverpflichtungen übereinstimmt.
  • Verpflichten Sie den Dritten, Ihr Unternehmen zu benachrichtigen, wenn er die im Vertrag festgelegten CCPA/CPRA-Richtlinien nicht erfüllen kann.
  • Geben Sie Ihrem Unternehmen das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten zu unterbinden und zu beheben.

Sie müssen auch sicherstellen, dass Ihr Unternehmen und der Dritte den Vertrag unterzeichnen.

Teil 5: Verbraucherrechte und überprüfbare Verbraucheranfragen

Unternehmen, die dem CCPA in der durch das CPRA geänderten Fassung unterliegen, müssen das Recht der Verbraucher anerkennen, Folgendes zu verlangen:

  • Zugang zu ihren persönlichen Daten
  • ihre persönlichen Daten zu korrigieren oder zu ändern
  • ihre persönlichen Daten zu löschen
  • sich gegen den Verkauf oder die Weitergabe ihrer Daten entscheiden
  • die Verwendung ihrer sensiblen persönlichen Daten einschränken

Diese Verbraucher haben auch das Recht auf Nichtdiskriminierung bei der Wahrnehmung ihrer Datenschutzrechte.

Das bedeutet zum Beispiel, dass Sie das nicht können:

  • Einem Verbraucher Waren oder Dienstleistungen verweigern.
  • Sie verlangen unterschiedliche Preise oder Tarife, was den Eindruck erweckt, es handele sich um eine Strafe.
  • Ein anderes Dienstleistungsniveau oder eine andere Qualität der Waren anbieten, was eine Strafe bedeutet.
  • Den Verbrauchern wird suggeriert, dass sie einen anderen Preis, einen anderen Tarif oder eine andere Qualität der Waren erhalten, wenn sie ihre Rechte wahrnehmen.
  • Vergeltungsmaßnahmen gegen Mitarbeiter, Bewerber oder Auftragnehmer, die ihre Datenschutzrechte wahrnehmen.

Aber Sie können es:

  • einen anderen Preis oder eine andere rechtliche oder qualitative Dienstleistung in Rechnung stellen, die in einem angemessenen Verhältnis zu dem Wert steht, den ihre persönlichen Daten bieten.
  • Bieten Sie Kunden Treue-, Belohnungs- und Clubprogramme oder Premiumfunktionen und Rabatte für die Angabe ihrer persönlichen Daten an.

Um diesen Teil des Gesetzes zu erfüllen, müssen Sie den Verbrauchern zwei oder mehr Methoden zur Verfügung stellen, mit denen sie ihre Datenschutzrechte wahrnehmen können, z. B:

  • Stellen Sie auf Ihrer Website einDSAR-Formular (Data Subject Access Request) ein.
  • Beachten Sie universelle Opt-out-Mechanismen (UOOMs), die in den Browsern der Nutzer oder durch eine Browsererweiterung wie Global Privacy Controls (GPC) eingestellt sind.
  • Link zu einer bestimmten E-Mail-Adresse oder physischen Adresse, an die sie Anfragen senden können.

Sie müssen dann die angeforderten Informationen innerhalb von 45 Tagen nach Erhalt einer nachprüfbaren Anfrage eines Verbrauchers kostenlos zur Verfügung stellen.

Teil 6: Sicherheitsverfahren und -praktiken

Das CCPA in seiner durch das CPRA geänderten Fassung verpflichtet die Unternehmen, angemessene Sicherheitsmaßnahmen und -protokolle einzuführen, die sich nach Art und Umfang der erhobenen personenbezogenen Daten richten.

Das Gesetz macht zwar keine genauen Angaben darüber, welche Sicherheitsmaßnahmen Sie ergreifen müssen, aber es verlangt von Ihnen, dass Sie Ihre Daten vor unbefugten oder illegalen Zugriffen schützen:

  • Zugang
  • Zerstörung
  • Verwenden Sie
  • Änderung
  • Offenlegung

Das CPRA gibt kalifornischen Verbrauchern erweiterte Rechte, um privat gegen Unternehmen vorzugehen, die ihre Daten sammeln, falls diese Daten jemals verletzt oder kompromittiert werden.

Teil 7: Sammeln und Verarbeiten von personenbezogenen Daten von Kindern

Mit dem CPRA wurden Anforderungen eingeführt, die Unternehmen erfüllen müssen, wenn sie im Rahmen des CCPA Daten von Kindern erheben und verarbeiten wollen; dazu gehören:

  • Einholung der ausdrücklichen Zustimmung , bevor personenbezogene Daten von Minderjährigen unter 16 Jahren verkauft oder weitergegeben werden.
  • Schaffung einer Möglichkeit für Minderjährige oder deren Erziehungsberechtigte, anzugeben, dass der Verbraucher zwischen 13 und 16 oder unter 13 Jahre alt ist.

CPRA-Anforderungen FAQ

Nachdem Sie nun die Checkliste zur Einhaltung des CPRA eingesehen haben, wollen wir nun einige der am häufigsten gestellten Fragen zum CPRA durchgehen.

Gilt das CPRA für mein Unternehmen?

Das CCPA in der durch das CPRA geänderten Fassung gilt für Ihr Unternehmen, wenn Sie in Kalifornien ansässig sind oder eine der folgenden Richtlinien erfüllen:

  • Sie erwirtschafteten zum 1. Januar des vorangegangenen Kalenderjahres Bruttojahreseinnahmen in Höhe von 25 Millionen Dollar.
  • Sie kaufen, verkaufen oder teilen jährlich die persönlichen Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten (vor Inkrafttreten der CPRA-Änderungen waren es 50.000).
  • Sie erzielen 50 % oder mehr Ihrer jährlichen Bruttoeinnahmen aus dem Verkauf oder der Weitergabe von personenbezogenen Daten.

Wann ist das CPRA in Kraft getreten?

Die meisten der gesetzlichen CPRA-Anforderungen traten am 1. Januar 2023 in Kraft, die Durchsetzungsvorschriften jedoch erst am 1. Juli 2023.

Ursprünglich sollten die Durchsetzungsvorschriften auf Daten zurückgreifen, die bis zum 1. Januar 2022 erhoben wurden, aber die CPPA hat ihre Empfehlungen nicht rechtzeitig fertiggestellt.

Daraufhin setzten die kalifornischen Gerichte die Vollstreckung bis zum 29. März 2024 aus, doch die CPPA legte gegen diese Entscheidung Berufung ein.

Am 9. Februar 2024 wurde bekannt gegeben, dass das kalifornische Berufungsgericht des dritten Bezirks sich auf die Seite des CPPA gestellt und das Datum des Inkrafttretens auf den 1. Juli 2023 zurückgesetzt hat.

Das geänderte Gesetz ist nun vollständig in Kraft, und die Unternehmen müssen sicherstellen, dass sie ab dem 1. Juli 2023 alle Verpflichtungen in Bezug auf die erhobenen Daten einhalten.

Wie hat das CPRA das CCPA geändert?

Mit dem CPRA wurden die folgenden wesentlichen Änderungen am CCPA eingeführt:

  • Er hat die rechtlichen Schwellenwerte des Gesetzes erweitert und es damit kleinunternehmerfreundlicher gemacht.
  • Sie führte das Konzept der gemeinsamen Nutzung persönlicher Informationen ein.
  • Es wurde die Kategorie der sensiblen persönlichen Informationen hinzugefügt.
  • Es wurden neue Verbraucherrechte eingeführt, darunter das Recht, der Weitergabe ihrer Daten zu widersprechen und die Verwendung ihrer sensiblen personenbezogenen Daten einzuschränken.
  • Sie änderte und erweiterte die geschäftlichen Verpflichtungen, einschließlich der Einführung von Sicherheitsanforderungen und vertraglichen Verpflichtungen.
  • Er führte das CPPA als die für die Durchsetzung und Umsetzung des Gesetzes zuständige Stelle ein.
  • Die 30-tägige Frist für die Behebung von Verstößen wurde abgeschafft, so dass die CPPA von Fall zu Fall entscheiden kann, ob ein Unternehmen eine Nachfrist erhält.

Wer setzt das CPRA durch?

Das CCPA/CPRA wird von der California Privacy Protection Agency ( CPPA) durchgesetzt, einer unabhängigen Gruppe, die durch die Änderungen des CPRA geschaffen wurde.

Sie erstellen Durchsetzungsvorschriften und -leitlinien und sind auch für die Aufklärung der Öffentlichkeit über bewährte Verfahren zur Einhaltung der Vorschriften zuständig.

Das CPPA ersetzte den kalifornischen Generalstaatsanwalt, der zuvor für die Durchsetzung des CCPA zuständig war.

Was sind die Strafen für Verstöße gegen das CPRA?

Wenn Sie gegen das CCPA/CPRA verstoßen, können Sie mit den folgenden Geldbußen belegt werden:

  • $2.500 pro nicht vorsätzlichem Verstoß
  • 7.500 $ für jeden vorsätzlichen Verstoß oder jedes Vergehen, an dem ein Minderjähriger unter 16 Jahren beteiligt ist

Es gibt keine spezielle Frist für die Behebung von CCPA/CPRA-Verstößen. Stattdessen kann die CPPA Ihnen eine solche Frist einräumen, wenn sie dies für notwendig erachtet.

Verbraucher können auch privat gegen Unternehmen vorgehen, die gegen das CCPA/CPRA verstoßen, wenn:

  • Ihre nicht verschlüsselten und nicht zensierten persönlichen Daten werden kompromittiert oder verletzt.
  • Ihre E-Mail-Adresse wird in Kombination mit einem Passwort oder anderen Details, die den Zugang zu einem Konto ermöglichen, kompromittiert oder missbraucht.

Kann Termly bei der Einhaltung von CCPA/CPRA helfen?

Benötigen Sie Hilfe bei der Einhaltung der kalifornischen Datenschutzbestimmungen? Verwenden Sie den TermlyDatenschutzerklärung Generator um eine Richtlinie zu erstellen, die Ihnen dabei hilft, die CCPA-Standards in der durch das CPRA geänderten Fassung zu erfüllen. Unterstützt von unserem Rechtsteam und unseren Datenschutzexperten stellt er grundlegende Fragen zu Ihrem Unternehmen und erstellt auf der Grundlage Ihrer Antworten eine einzigartige Richtlinie.

Wir bieten auch eine Consent Management Platform (CMP) an, die so konfiguriert werden kann, dass sie kalifornischen Nutzern angemessene Zustimmungsoptionen auf der Grundlage der Anforderungen des CCPA/CPRA bietet. Sie umfasst den Zugang zu einem DSAR-Formular, das Sie auf Ihrer Website einbetten können, um Ihren Nutzern zu helfen, überprüfbare Verbraucheranfragen zu stellen.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Erzeugen einer CPRA-Datenschutzrichtlinie

Beantworten Sie ein paar einfache Fragen, um Ihre CPRA-konforme Police in MINUTEN zu erstellen!
CPRA-Datenschutzerklärung generieren

Verwandte Artikel

  1. Datenschutzerklärung für ein SaaS-Unternehmen 01
    Datenschutzerklärung für ein SaaS-Unternehmen: So erstellen Sie eine
    Artikel

    4. Dezember 2025
    Hanna De La Garza
  2. Termly
    Termly vs. PolicyMaker: Funktionen und Vorteile im Vergleich
    Vergleiche

    November 26, 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly
    Termly vs. Ketch: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    14. November 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. EU-konforme-Datenschutzpolitik-01
    EU-konforme Datenschutzrichtlinie
    Artikel

    7. November 2025
    Hanna De La Garza
  5. Rechtliche Anforderungen für E-Commerce-Geschäfte-01
    5 Arten von rechtlichen Anforderungen für E-Commerce-Shops
    Artikel

    5. November 2025
    Natasha Piirainen
  6. Wie-man-AI-Tools-verwendet-ohne-die-Privatsphärengesetze-zu-brechen-01
    Wie man KI-Tools verwendet, ohne gegen Datenschutzgesetze und bewährte Praktiken zu verstoßen
    Artikel

    31. Oktober 2025
    Natasha Piirainen
  7. AI-Datenschutz-Statistiken
    54 Aufschlussreiche KI-Datenschutzstatistiken
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  8. 14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen können
    14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  9. Was ist der Unterschied zwischen einem Datenschutzhinweis und den Allgemeinen Geschäftsbedingungen
    Was ist der Unterschied zwischen einer Datenschutzrichtlinie, einem Haftungsausschluss und den Allgemeinen Geschäftsbedingungen?
    Artikel

    15. Oktober 2025
    Natasha Piirainen

Weitere Artikel ansehen